ThWboard Support-Forum (Archiv)

dp schrieb am 10.12.2001 um 18:05 Uhr

ThWboard Beta 2.6b

Beta 2.6b ist ein ausserplanmäßiges Release und hat daher nicht schon die Funktionen die für die nächste Version geplant waren. Daher ist es 2.6b und nicht 2.7; erst 2.7 wird dann die angekündigten Neuerungen enthalten.

Warum 2.6b?
- Dieses Release wurde aufgrund eines möglichen Sicherheitsloches mit bestimmter PHP/MySQL-Konfiguration notwendig. Ich werde hier verständlicherweise nicht auf dieses Problem eingehen, zumindest nicht bis genügend Admin's die Chance gehabt haben Ihr Board upzudaten.


Änderungen
Passwörter im Cookie und in der Datenbank werden nicht länger unverschlüsselt gespeichert.
Sicherheitslücke behoben.

Aufgrund der Passwortverschlüsselung müssen bestehende Passwörter verschlüsselt werden. Version 2.6b wird nicht funktionieren wenn die Passwörter nicht verschlüsselt worden sind, da sonst alle Userpasswörter falsch wären.

Das Updatescript wird wie folgt aufgerufen:
./admin/update2627.php(3)

Aus Sicherheitsgründen muss man die MySQL Daten eingeben, für maximale Sicherheit sollte das Script anschließend gelöscht werden.

Es wurden _alle_ Dateien geändert!


Version 2.6b in Kürze im Downloadbereich.

Viel Spaß
-Paul

Adrian schrieb am 10.12.2001 um 18:29 Uhr

Wie wärs mit einer Upgradeanleitung, für die, die 2.6 haben (wer mehr als 1-2 Hackz drin hat, will ja nicht alle neu einbauen)

dp schrieb am 10.12.2001 um 18:55 Uhr

Download funzt jetzt.

@adrian
Da alle Dateien verändert wurden, kann man schlecht eine Anleitung machen, zumal recht viel verändert wurde :\

Morpheus schrieb am 10.12.2001 um 21:33 Uhr

http://www.slware.de/index.php?action=shownews&show=94

n kleiner Beitrag von meiner seite =)

update werde ich wahrscheinlich morgen vornehmen

dp schrieb am 11.12.2001 um 16:32 Uhr

@62.104.214.30
der grösste bug war nicht das spammen.


ich musste die version 2.6b nochmal updaten, in der do_register.php(3) hatte sich ein kleiner typo eingeschlichten, wer 2.6b noch nicht hat, einfach saugen, alle anderen: do_register.php(3) nochmal ersetzen.
sorry.

RT schrieb am 11.12.2001 um 17:53 Uhr

Darth Paul postete
musste die version 2.6b nochmal updaten, in der do_register.php(3) hatte sich ein kleiner typo eingeschlichten, wer 2.6b noch nicht hat, einfach saugen, alle anderen: do_register.php(3) nochmal ersetzen.
sorry.

Hi,
puuh.. ich wollte gerade hier posten, weil sich bei uns schon keiner mehr registrieren konnte. aber zum glück ist hier schon die antwort. danke :)
RT

test schrieb am 11.12.2001 um 19:47 Uhr

Morpheus postete
http://www.slware.de/index.php?action=shownews&show=94

n kleiner Beitrag von meiner seite =)

update werde ich wahrscheinlich morgen vornehmen

da steht ja genau das gleiche wie darth paul schon geschrieben hat :D

Morpheus schrieb am 11.12.2001 um 21:04 Uhr

schnell gemerkt...

was soll ichd enn sonst noch schrieben ????

Heiner schrieb am 11.12.2001 um 21:15 Uhr

Hi,

das ist für ´nen Anfänger in php/MySQL sicher haarig??!!

Wenn ich also ein Update mache, wüßte im Moment noch
gar nicht mal so genau wie, dann würde das Board so
nicht mehr laufen?, wegen der Passwörter?

Ist das Risiko so groß das man 2.6 nicht einfach
so lassen könnte?

test schrieb am 11.12.2001 um 21:22 Uhr

@morpheus

...wegen dem kommentar dacht ich nur das da noch mehr steht oder so aber da ja dort das eigentlich gleiche steht hät ich ja garnich rauf müssen ;) doch dank deinem beitrag bin ich neugierig geworden!

WEIL...ich bin NICHT scharf drauf das board upzudaten ^^ Ist es denn zwingend erforderlich ?

ok die sicherheit is größer da die PW's verschlüsselt werden...aber is sonst noch was verändert ? Weil sonst wart dann noch....

Morpheus schrieb am 11.12.2001 um 22:24 Uhr

ja ich denke schon sind einige Bugfixes drin das Update lohnt sich.

Desweiteren werde ich auf slware.de in nächster Zeit ein Foren-Hosting betreiben, natürlich mit dem Thwboard. ich hoffe das es anklang findet denn einige Leute haben keinen PHP und Mysql Fähigen Webspace wollen aber trotzdem ein ordentliches Forum.

Wir bieten ihnen...

... ein einfach zu bedienendes Forum, welches trotzdem viele Funktionen hat
... ein kostenloses Thwboard mit vollen Administrationsrechten
... auf Wunsch automatisches Update auf die jeweils aktuelle Version
... volle Zugriffsrechte auf Templates. Sie können also das Aussehen des Forums nach
belieben verändern !
... keine Webspace und Traffic Limitierung
... eine ordentliche Adresse www.slware.de/hosting/~benutzername
... keine versteckte Kosten
... eine riesen Datenbank voller Styles für ihr Forum
... und einen guten Support

Luki schrieb am 12.12.2001 um 00:27 Uhr

@Morpheus!
Wow, was für ein Service!!!

Ich habe übrigens eben mein Forum geupdatet, und habe bei mysqlhost: localhost eingegeben - was anscheinend einige Errors zufolge hatte!
(unter Basicsettings stand z.B. bei Boardurl auf einmal localhost!!!)

ich habe das Update leider danach nocheinmal ausgeführt, was leider alle Passwörter nocheinmal vercryptet hat :(
...gut das es die send_password.php3 gibt!

"Sicherheit eure Database, vorm Update!" - ich habe es natürlich nicht gemacht! :(

Gruß

L.

Heiner schrieb am 12.12.2001 um 06:36 Uhr

@ Morpheus und die anderen Moderatoren

Die Idee mit dem Foren-Hosting ist echt super, für mich
leider zu spät. Habe neben meinem Webspace bei Puretec
jetzt extra für THW noch einen Webspace bei hosteurope.
Das wars auch wirklich wert.
Nur bei Updates bin ich jetzt aufgeschmissen.
Entprechende Fragen diverser Nutzer des Boards zu diesem
Thema werden unvollständig beantwortet und sind für php/MySQL
Anfänger unverständlich.
Nach 6 Versuchen mit anderen Board habe ich mich für diesen
Board entschieden, weil für mich auch eine unkomplizierte
Bearbeitung des Boards ausschlaggebend war.
Jetzt kommen Updates und ich weiß nicht weiter.

Meine Bitte:
Da ich einigen Posts entnehme das auch andere ihre Schwierig-
keiten damit haben, würde eine entsprechende Beschreibung oder
eine geführte Installierung des Updates wie bei der Installierung
des THW Boards sehr, sehr sinnvoll.

Crayfish schrieb am 12.12.2001 um 08:36 Uhr

Hmm,
was mir gerade auffällt. Kann man die Installation nicht so gestalten, dass man Update oder Neuinstallation wählen kann?

Das die Updatevariante ohne überschreiben der Datenbank funzt, bzw. automatisch ne Sicherung erstellt?

Weil scheint ja hier verdammt oft vorzukommen, dass die Datenbank beim Update zerschossen wird :(

dp schrieb am 12.12.2001 um 13:23 Uhr

L. postete
@Morpheus!
Wow, was für ein Service!!!

Ich habe übrigens eben mein Forum geupdatet, und habe bei mysqlhost: localhost eingegeben - was anscheinend einige Errors zufolge hatte!
(unter Basicsettings stand z.B. bei Boardurl auf einmal localhost!!!)

das ist schon sehr komisch - das updatescript liest die config file in der boardurl usw steht weder ein geschweige denn wird diese datei modifiziert/überschrieben. könntest du mal genaure infos zum updatehergang posten?

dp schrieb am 12.12.2001 um 13:30 Uhr

@Heiner,
ich werde versuchen zukünftig update scripts mitzuliefern, für mysql queries die normal in phpmyadmin ausgeführt werden sollen.

die passwortkonvertierung ist leider zwingend notwendig, eine neuinstallation würde auch nichts bringen, es sei denn, jemand will alle userdaten verlieren.

was 2.6b betrifft, es müssen einfach nur alle dateien ersetzt werden per ftp und dann besagtes script aufgerufen werden. ich habe damit 3 board upgedatet, darunter auch das bei thewall.de mit 6500 usern, es gab keinerlei probleme, ich habe echt keine ahnung warum es nicht klappen sollte (siehe L.)

Luki schrieb am 12.12.2001 um 13:40 Uhr

Hi DP!

Ich habe anscheinend versehentlich die config.inc.* beim Upload überschrieben!! und habe dann weil ich die nicht mehr rekonstruieren konnte, das komplette Forum in der neuen Version draufgespielt!!

Die update2627.php* wurde bei mir 2x ausgeführt, da sie beim ersten mal eine falsche confic.inc ausgelesen hatte! - war also MEIN FEHLER!

Gibt es eine Möglichkeit, die Userpasswörter wieder herzustellen? Oder müssen die jetzt alle ein neues anfordern?

Gruß

L.

Morpheus schrieb am 12.12.2001 um 17:25 Uhr

nein leider, denn die md5 verschlüsselung erlaubt nur eine verschlüsselung in eine Richtung.

dp schrieb am 12.12.2001 um 21:39 Uhr

achtung:
noch ein kleiner fehler in der do_register.php(3) -- ggf aus der aktuellen download version ersetzten bzw neu downloaden.

sorry :\

Heiner schrieb am 12.12.2001 um 21:42 Uhr

@ Darth Paul

Vielen Dank für die Antwort.
Wenn ich hier die Threats lese, hat es wohl doch einige
Probleme gegeben. Die möchte ich natürlich unbedingt
vermeiden, da ich mit der Materie nicht so vertraut bin.

Könntest Du einem Laien vielleicht nochmal schrittweise
erklären wie ich dieses Update jetzt raufkriege ohne
irgendetwas zu löschen??
Kann leider mit:

>was 2.6b betrifft, es müssen einfach nur alle dateien
>ersetzt werden per ftp und dann besagtes script aufgerufen werden

nicht viel anfangen, sorry.

dp schrieb am 12.12.2001 um 21:48 Uhr

ok, du hast ja sicher einen ftp account, mit dem du die .php dateien hochgeladen hast zum installieren des forums, richtig?

genau das gleiche machst du nun mit der 2.6b, alle dateien hochladen außer der ./inc/config.inc.php(3).

dannach gibst du im browser die forumurl ein und hängst admin/update2627.php(3) an. (hier: http://www.thwboard.de/support/admin/update2627.php3)
dort müssen die mysql daten eingeben werden, wie bei der installation.

ps: während des updates das forum am besten schliessen.

Heiner schrieb am 12.12.2001 um 22:11 Uhr

@ darth paul

Danke für die Beschreibung.
Ich hatte, wie angeraten, das Verzeichnis ADMIN umbenannt.
Also statt "ADMIN" dann den neuen Namen des Verzeichnisses?

..und dann die update 2627 löschen?
..bestehende Passwörter müssen verschlüsselt werden? wie?

war beim Installieren nicht auch noch ein Hinweis
eine bestimmte Datei nach der Installation zu
löschen?

Heiner schrieb am 13.12.2001 um 08:23 Uhr

Hilfe !!!!!

Habe alles gemacht wie Du gesagt hast.

Alles hochgeladen, vorher mein Admin Ordner wieder
umbenannt wie ich es bei der Insatllation auch getan habe,
diese config.inc weggelassen, update 2627 eingegeben,
meine MySQL Daten eingegeben und los.
Jetzt stehe ich am Admin-Eingang gebe mein Namen
und das Passwort ein und nichts!!!!! passiert. Ich
komme nicht weiter!!!!!!
Hatte das Forum im Admin-Center vorher geschlossen.
Die config.inc.php3 nicht mit hochgeladen, aber die
ursprüngliche steht natürlich noch drin. War doch
richtig alles zu überschreiben oder sollte vorher
auf dem Webspace alles gelöscht werden.???

Jonas schrieb am 13.12.2001 um 15:59 Uhr

nichts passiert?
NICHT SCHON WIEDER N COOKIE PROBLEM!!!
ansonsten hast du alles richtig gemacht, GENAUSO, wie es sein soll...
achte allerdings auf das bugfix, das dp grade erstellt hat, das könnte auch daran liegen (bugforum/warnung zu 2.6b)

Heiner schrieb am 13.12.2001 um 16:12 Uhr

Die Cookies waren "eingeschaltet".
Habe nach dem Eingeben der Daten auf den
Update - Button geklickt.
Danach wurde ich automatisch auf die
Loginseite des AdminsCenter gebracht
wo ich meinen Namen und das Passwort
eingeben muß. Das habe ich getan,
jedoch springt die Seite immer wieder
auf diese Eingabe zurück.

Was soll ich jetzt machen?
Das komplette 2.6 b rüber mit der config.inc?
neu installieren, nicht mehr update?
Welche Daten gehen verloren?

Habe 2.6 b heute morgen runtergeladen,
da war der Bug doch schon weg?